La Cour de Cassation vient de se pencher sur la question de savoir si un employeur pouvait collecter des informations à caractère personnel sur ses salariés en libre accès sur internet.
Dans cette affaire, un enquêteur privé s’était livré, à la demande du directeur de la sécurité d’une société, à la collecte d’informations à caractère personnel sur des salariés qui se trouvaient en libre accès sur Internet.
Cette collecte avait été réalisée sans que les salariés aient été informés et portait sur diverses informations personnelles : antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l’étranger.
Elles avaient été obtenues grâce à la capture et au recoupement d’informations diffusées sur des sites publics tels que des sites web, des annuaires, des forums de discussion, les réseaux sociaux, des sites de presse régionale.
Pour les juges d’appel, ces faits constituaient un délit de collecte de données à caractère personnel par un moyen déloyal interdit par l’article 226-18 du code pénal, de telles données ayant fait l’objet d’une utilisation sans rapport avec l’objet de leur mise en ligne et ayant été recueillies à l’insu des personnes concernées, ainsi privées du droit d’opposition institué par la loi informatique et libertés.
L’enquêteur privé a été condamné à un an d’emprisonnement avec sursis et à 20 000 euros d’amende.
Il a formé un pourvoi en cassation.
A l’appui de sa contestation, l’enquêteur soutenait que les données collectées étaient des données en open source, à savoir des informations rendues publiques par voie de presse ou diffusées publiquement par une personne sur un réseau social.
Le moyen de collecte ne pouvait donc pas être déloyal puisque les données étaient en libre accès sur internet.
La Cour de cassation rejette le pourvoi.
En effet, le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire en rien au caractère déloyal de cette collecte dès lors qu’une telle collecte, de surcroît, réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à leur insu, ne pouvait s’effectuer sans qu’elles en soient informées.
Cet arrêt illustre le cadre de la protection des données personnelles qui sont maintenant protégées par le Règlement Général de la Protection des Données Personnelles (RGPD).
Le nombre de contentieux est en constante augmentation dans ce domaine de sorte que la prudence reste de mise.